POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH

I. Wstęp

Niniejsza Polityka Bezpieczeństwa została opracowana na podstawie Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. (RODO) oraz ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r., poz. 922 ze zm.). Dokument ten określa zasady i standardy wewnętrzne dotyczące ochrony danych osobowych przetwarzanych przez QSG Poland Sp. z o.o. (zwaną dalej Spółką). Administratorem danych jest QSG Poland Sp. z o.o. z siedzibą w Tychach, ul. Estetyczna 4, 43-100 Tychy, NIP: 6312688274, REGON: 384750090.

II. Zbiory danych osobowych

W Spółce funkcjonują następujące zbiory danych osobowych:

  • Zbiór danych kandydatów do pracy – zawiera informacje niezbędne do przeprowadzenia procesu rekrutacyjnego, zgodnie z art. 221 Kodeksu Pracy oraz rozporządzeniami wykonawczymi. Celem zbioru jest usprawnienie rekrutacji i wybór odpowiednich kandydatów.
  • Zbiór danych kadrowo-płacowych – obejmuje dane pracowników, gromadzone w celu realizacji obowiązków pracodawcy wynikających z Kodeksu Pracy, ustawy o systemie ubezpieczeń społecznych oraz przepisów podatkowych.
  • Zbiór danych współpracowników – zawiera informacje o osobach współpracujących ze Spółką na podstawie umów cywilnoprawnych, zgodnie z przepisami ustawy o systemie ubezpieczeń społecznych.
  • Zbiór danych kontrahentów – gromadzi dane partnerów biznesowych, niezbędne do prowadzenia działalności gospodarczej, w tym wystawiania faktur i rozliczeń.
  • Zbiór danych w systemie bazodanowym – służy do archiwizacji i analizy danych związanych z bieżącą działalnością Spółki. Zawiera minimalne dane osobowe, takie jak imię i nazwisko.
  • Zbiór danych księgowych – obejmuje dokumentację księgową, prowadzoną zgodnie z ustawą o rachunkowości oraz przepisami podatkowymi.

III. Obowiązki Administratora Danych

Administrator zobowiązany jest do:

  1. Zapewnienia odpowiednich środków technicznych i organizacyjnych w celu ochrony danych osobowych przed nieuprawnionym dostępem, utratą lub zniszczeniem.
  2. Zapewnienia, że dane są przetwarzane zgodnie z prawem, w sposób przejrzysty i ograniczony do niezbędnego zakresu.
  3. Zatwierdzania dokumentacji związanej z przetwarzaniem danych, w tym Polityki Bezpieczeństwa i rejestru czynności przetwarzania.
  4. Dopuszczania do przetwarzania danych wyłącznie osób upoważnionych.
  5. Respektowania praw osób, których dane dotyczą, w tym prawa do dostępu, sprostowania, usunięcia lub ograniczenia przetwarzania danych.

IV. Obowiązki pracowników i współpracowników

Osoby mające dostęp do danych osobowych zobowiązane są do:

  1. Zapoznania się i przestrzegania przepisów dotyczących ochrony danych osobowych.
  2. Zabezpieczania danych przed nieuprawnionym dostępem, modyfikacją lub zniszczeniem.
  3. Stosowania zasady „czystego biurka” – przechowywania dokumentów w zamkniętych szafach lub szufladach.
  4. Niszczenia zbędnych dokumentów zawierających dane osobowe przy użyciu niszczarek.
  5. Regularnej zmiany haseł dostępu do systemów informatycznych oraz stosowania silnych haseł (zawierających małe i wielkie litery, cyfry oraz znaki specjalne).
  6. Blokowania dostępu do komputerów podczas nieobecności w miejscu pracy.
  7. Informowania przełożonych o wszelkich naruszeniach lub zagrożeniach związanych z ochroną danych.

V. Miejsce przetwarzania i przechowywania danych

Dane osobowe przetwarzane są w następujących systemach:

  • System kadrowo-płacowy Comarch ERP Optima – służy do zarządzania danymi pracowników i współpracowników.
  • Program Płatnik – służy do realizacji obowiązków wobec Zakładu Ubezpieczeń Społecznych.
  • System księgowy IBiznes (Firmatec) – wykorzystywany do prowadzenia dokumentacji księgowej.

Dane przechowywane są na serwerze znajdującym się w siedzibie Spółki, w pomieszczeniu zabezpieczonym przed nieuprawnionym dostępem.

VI. Środki bezpieczeństwa

W celu ochrony danych osobowych Spółka stosuje następujące środki:

  1. Środki techniczne:
    • Systemy antywirusowe
    • Indywidualne loginy i hasła dostępu do systemów informatycznych.
    • Rejestracja zmian wprowadzanych w systemach.
    • Certyfikaty kwalifikowane do podpisywania dokumentów elektronicznych.
  2. Środki organizacyjne:
    • Ewidencja osób upoważnionych do przetwarzania danych.
    • Regularne szkolenia pracowników z zakresu ochrony danych.
    • Zasady przechowywania dokumentów w pokojach zamykanych na klucz, z dostępem wyłącznie dla osób upoważnionych.

VII. Prawa osób, których dane dotyczą

Osoby, których dane są przetwarzane, mają prawo do:

  1. Dostępu do swoich danych.
  2. Sprostowania lub usunięcia danych.
  3. Ograniczenia przetwarzania danych.
  4. Wniesienia sprzeciwu wobec przetwarzania.
  5. Przenoszenia danych.
  6. Wniesienia skargi do organu nadzorczego (Prezesa Urzędu Ochrony Danych Osobowych).